Un actor de amenaza del nexo con China conocido como APT24 Se observó que utilizaba malware previamente no documentado llamado BADAUDIO para establecer acceso remoto persistente a redes comprometidas como parte de una campaña de casi tres años.
“Si bien las operaciones anteriores se han basado en compromisos web estratégicos de amplio alcance para comprometer sitios web legítimos, APT24 recientemente ha pasado a utilizar vectores más sofisticados dirigidos a organizaciones en Taiwán”, dijeron los investigadores de Google Threat Intelligence Group (GTIG), Harsh Parashar, Tierra Duncan y Dan Perez.
“Esto incluye el compromiso repetido de una empresa regional de marketing digital para realizar ataques a la cadena de suministro y el uso de campañas de phishing dirigidas”.
APT24, también conocido como Pitty Tiger, es el apodo de un presunto grupo de hackers chino que tiene como objetivo los sectores gubernamental, sanitario, de construcción e ingeniería, minería, organizaciones sin fines de lucro y telecomunicaciones en Estados Unidos y Taiwán.
Según un informe de FireEye de julio de 2014, se decía que el atacante había estado activo ya en 2008. Los ataques utilizan correos electrónicos push para engañar a los destinatarios para que abran documentos de Microsoft Office, que a su vez explotan vulnerabilidades de software conocidas (por ejemplo, CVE-2012-0158 y CVE-2014-1761) para infectar sistemas con malware.
Las familias de malware asociadas con APT24 incluyen CT RAT, una variante de Enfal/Lurid Downloader llamada MM RAT (también conocida como Goldsun-B) y variantes de Gh0st RAT conocidas como Paladin RAT y Leo RAT. Otro malware notable que está implementando el actor de amenazas es una puerta trasera llamada Taidoor (también conocida como Roudan).
Se estima que APT24 está estrechamente vinculado a otro grupo de Amenaza Persistente Avanzada (APT) llamado Earth Aughisky, que también ha utilizado Taidoor en sus campañas y anteriormente ha utilizado infraestructura atribuida a APT24 en ataques para difundir otra puerta trasera llamada Specas.
Según un informe de Trend Micro de octubre de 2022, ambas cepas de malware están diseñadas para leer la configuración del proxy de un archivo específico “%systemroot%\\system32\\sprxx.dll”.
Los últimos hallazgos de GTIG muestran que la campaña BADAUDIO se ha estado ejecutando desde noviembre de 2022, y los atacantes utilizan pozos de agua, compromisos de la cadena de suministro y phishing lanzado como vectores de acceso inicial.
BADAUDIO es un malware muy ofuscado escrito en C++. Aprovechando la reducción del flujo de control para resistir la ingeniería inversa, actúa como un descargador de primera etapa capaz de descargar, descifrar y ejecutar una carga útil cifrada con AES desde un servidor de comando y control (C2) codificado. Funciona recopilando y filtrando información básica del sistema al servidor, que responde con la carga útil que se ejecutará en el host. En un caso se trataba de una baliza de ataque de cobalto.
 |
| Resumen de la campaña BADAUDIO |
“BADAUDIO normalmente se manifiesta como una biblioteca de vínculos dinámicos (DLL) maliciosa que explota el secuestro de orden de búsqueda de DLL (MITRE ATT&CK T1574.001) para ejecutarse a través de aplicaciones legítimas”, dijo GTIG. “Las variantes observadas recientemente indican una cadena de ejecución refinada: archivos cifrados que contienen DLL de BADAUDIO, así como archivos VBS, BAT y LNK”.
Desde noviembre de 2022 hasta al menos principios de septiembre de 2025, se estima que APT24 ha comprometido más de 20 sitios web legítimos para inyectar código JavaScript malicioso para excluir específicamente a los visitantes de macOS, iOS y Android, generar una huella digital única del navegador utilizando la biblioteca FingerprintJS y mostrarles una ventana emergente falsa pidiéndoles que descarguen BADAUDIO bajo la apariencia de una actualización de Google Chrome.
Luego, a partir de julio de 2024, el grupo de piratas informáticos penetró en una empresa regional de marketing digital en Taiwán para orquestar un ataque a la cadena de suministro inyectando JavaScript malicioso en una biblioteca de JavaScript ampliamente utilizada que distribuía la empresa, lo que le permitió secuestrar más de 1.000 dominios.
El script de terceros modificado está configurado para llegar a un dominio typosquatt que se hace pasar por una red de entrega de contenido (CDN) legítima, que recupera JavaScript controlado por el atacante para crear una huella digital en la computadora y luego, después de la validación, muestra la ventana emergente de descarga de BADAUDIO.
“El compromiso de junio de 2025 inicialmente empleó la carga condicional de scripts basados en una identificación web única (el nombre de dominio específico) asociada con el sitio web utilizando los scripts de terceros comprometidos”, dijo Google. “Esto sugiere una orientación personalizada que limita el compromiso web estratégico (MITRE ATT&CK T1189) a un solo dominio”.
 |
| Ataque a la cadena de suministro JS comprometida para entregar el malware BADAUDIO |
“Sin embargo, las condiciones se levantaron temporalmente en agosto por un período de diez días, lo que permitió que los 1.000 dominios que utilizaban los scripts se vieran comprometidos antes de que se restableciera la restricción original”.
Desde agosto de 2024, también se observó que APT24 realizaba ataques de phishing dirigidos utilizando señuelos asociados con una organización de rescate de animales para engañar a los destinatarios para que respondieran y, en última instancia, enviaran BADAUDIO a través de archivos cifrados alojados en Google Drive y Microsoft OneDrive. Estos mensajes están equipados con píxeles de seguimiento para confirmar si los destinatarios han abierto los correos electrónicos y adaptar sus esfuerzos en consecuencia.
“El uso de técnicas avanzadas como el compromiso de la cadena de suministro, la ingeniería social de múltiples capas y el abuso de servicios legítimos en la nube demuestra la capacidad del actor para participar en un espionaje sostenido y adaptable”, dijo Google.
El Grupo APT del nexo China apunta al Sudeste Asiático
La revelación se produce mientras CyberArmor detalla una campaña de espionaje en curso orquestada por un presunto actor de amenazas en el nexo con China contra el gobierno, los medios y los sectores de noticias en Laos, Camboya, Singapur, Filipinas e Indonesia. La actividad ha sido nombrada en código. Dragón de otoño.
La cadena de ataque comienza con un archivo RAR, probablemente enviado como un archivo adjunto en mensajes de phishing, que cuando se extrae explota una vulnerabilidad de WinRAR (CVE-2025-8088, puntuación CVSS: 8,8) para iniciar un script por lotes (“Windows Defender Definición Update.cmd”) que establece persistencia para garantizar que el malware se inicie automáticamente cuando el usuario inicie sesión la próxima vez que inicie sesión en el sistema.
También descarga un segundo archivo RAR alojado en Dropbox a través de PowerShell. El archivo RAR contiene dos archivos, un ejecutable legítimo (“obs-browser-page.exe”) y una DLL maliciosa (“libcef.dll”). Luego, el script por lotes ejecuta el binario para descargar la DLL, que luego se comunica con el actor de la amenaza a través de Telegram para recuperar comandos (“Shell”), capturar capturas de pantalla (“Captura de pantalla”) y soltar cargas útiles adicionales (“Cargar”).
“El controlador del bot (actor de amenazas) utiliza estos tres comandos para recopilar información, espiar la computadora de la víctima y desplegar malware de tercer nivel”, dijeron los investigadores de seguridad Nguyen Nguyen y BartBlaze. “Este diseño permite que el controlador pase desapercibido y evite ser detectado”.
La tercera etapa utiliza nuevamente la descarga de DLL para iniciar una DLL maliciosa (“CRClient.dll”) utilizando un binario real (“Creative Cloud Helper.exe”), que luego descifra y ejecuta el código shell responsable de cargar y ejecutar la carga útil final, un implante liviano escrito en C++ que puede comunicarse con un servidor remoto (“public.megadatacloud(.)com”) y admite ocho comandos diferentes.
- 65 para ejecutar un comando específico usando cmd.exe, recopilar el resultado y exfiltrarlo nuevamente al servidor C2
- 66 para cargar y ejecutar una DLL
- 67 para ejecutar shellcode
- 68 para actualizar la configuración
- 70 para leer un archivo proporcionado por el operador
- 71 para abrir un archivo y escribir el contenido proporcionado por el operador
- 72 para obtener/configurar el directorio actual
- 73 para dormir por un período de tiempo aleatorio y terminarte a ti mismo
Aunque la actividad no está vinculada a un actor o grupo de amenaza específico, puede representar el trabajo de un grupo nexo con China que tiene capacidades operativas intermedias. Esta evaluación se basa en el hecho de que el enemigo continúa apuntando a países alrededor del Mar Meridional de China.
“La campaña de ataque tiene como objetivo”, dijeron los investigadores. “Durante nuestro análisis, a menudo observamos que las siguientes fases se alojan detrás de Cloudflare, con restricciones geográficas habilitadas, así como otras restricciones, como permitir solo ciertos agentes de usuario HTTP”.
About The Author
